随着网络技术的飞速发展和网络时代的到来，社会各方面都强烈地依赖于信息资源和网络环境的支撑，而互联网原有的跨国界性、无主观性、不设防性和缺少法律约束性等特性都在为信息化建设带来机遇的同时也带来了巨大的风险。如今，企业的发展越来越迅速，企业内部的分支机构分布也越来越广，网络逐渐成为他们交流和共享数据的主要平台。由于建立专用网络的建设成本非常高，一般企业都采用公用网络进行传输，但这种情况下存在着严重的安全隐患。为了降低成本同时保障传输的安全性和可靠性，人们提出了虚拟专用网(VPN)这一技术手段。目前有很多技术被应用于VPN实现，包括点对点隧道协议PPTP、安全套接层SSL、多协议标签交换MPLS等。　　 自从互联网工程任务组(IETF)正式制定因特网协议安全(IPSec)作为开放性网络层安全协议， IPSec便被引入到VPN的创建方案中来。IPSec工作在网络层，为网络层及其以上协议提供保护，是目前公认为的安全性较高、应用较广的一种VPN技术。传统的IPSec VPN系统简单而有效，能够满足基本的网络安全需求，但随着应用的推广，也逐渐体现了一些局限性。　　 本论文深入分析IPSec协议族，研究IPSec的工作原理和工作流程，并进一步研究IPSec在Linux环境下的实现机制，提出一种在Linux环境下的改进型企业自建IPSec VPN(ESISV-IL)系统，并完成对这种系统实现的框架、主要流程、主要功能模块的研究，解决了IPSec在实际应用中存在的IPSec与网络地址转换(NAT)的兼容性问题和安全策略管理问题，增强了系统对网络地址端口转换的支持，提高了管理员策略配置的效率。　　 本论文主要完成了如下几方面的工作：　　 1、研究分析VPN与IPSec协议。本论文主要从VPN的定义、分类、连接模式和关键技术等方面对VPN进行了详细的研究，并且分析了IPSec协议的体系结构，重点分析了认证头协议AH、封装安全载荷协议ESP以及因特网密钥交换协议IKE。　　 2、通过设计实现Windows环境和Linux环境下基于IPSec的VPN，分析目前IPSecVPN在实际应用中存在的问题。　　 3、本论文提出一种在Linux环境下的改进型企业自建IPSec VPN(ESISV-IL)系统，并对这种系统实现的框架、主要流程、主要功能模块进行研究。本系统采用独立模块开发的IPSec的软件实现，通过改进的UDP封装法解决了IPSec支持NAT的问题，同时提出并设计了一种基于统一策略格式及策略数据库的解决方案。　　 4、通过对ESISV-IL系统进行设计实验及理论论证，本论文证明ESISV-IL系统能够有效解决IPSec穿越NAT的问题和安全策略管理配置问题，能够与现有网络环境协调工作，具有可靠性与可扩展性。